none
ディレクトリサービスログに出力されたDSAに関するエラーメッセージについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

    DCサーバにて以下のエラーメッセージが出力されました。

    原因・解決策をご教授いただきたく思います。

     

    ●環境:

     OSWindows 2008 R2SP1

     Active Directory

     シングルフォレスト/シングルドメイン

     Windows2008 R2機能モード(フォレスト/ドメイン)

     DCサーバ全3台。

     Active Directoryサイトは2つで構成。①サイトに2(DC#1DC#2)、②サイトに1(DC#3)で配置

     FSMOは通常DC#1が所有

     

     

    ●エラー詳細

     ・発生サーバ:DC#1

     ・発生状況(2種類のテストで一回ずつ表示されました):

       ①DC#1停止中にDC#2FSMOを強制移行→DC#1のリストアを実施→DC#1起動後にメッセージ出力。

       ②DC#1停止中にDC#2FSMOを強制移行→DC#1のリストアを実施→FSMODC#2からDC#1に転送→DC#1再起動後にメッセージ出力。

     

     ・エラー内容:

       種別:ディレクトリサービスログ

       レベル:エラー

       ソース:Microsoft-Windows-ActiveDirectory_DomainService

       イベントID2513

       タスクのカテゴリ:DS RPC クライアント

       メッセージ:"次の DSA への接続のための希望する認証プロトコルを設定することができませんでした。

              DSA:

               xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx(文字列)._msdcs.xxx.xxx(ドメイン名)

     

              追加データ:

                    エラー:

              1747 その認証サービスは認識されません。

             "

     

    下記掲示板で、「dcdiag」を確認するように記載がありました。

    現在、この環境ではルートヒントに関するエラーメッセージが「dcdiag」で検出されています。

    しかし、そのルートヒントに関するエラーはDC#2でも発生している為、質問対象のエラーとは別問題だと考えています。

    【掲示板】

    http://translate.google.co.jp/translate?hl=ja&sl=pt&u=http://social.technet.microsoft.com/Forums/pt-BR/winsrv2008pt/thread/90c027d5-2537-4f77-8395-f42a11b1b93b/&ei=pfsUT6aMLKLQmAXW_r3-CQ&sa=X&oi=translate&ct=result&resnum=1&ved=0CDAQ7gEwAA&prev=/search%3Fq%3D2513%2BDSA%2B1747%26hl%3Dja%26biw%3D1028%26bih%3D468%26prmd%3Dimvnsfd

     

     

    また、DSADirectory System Agent(複製先のDC)については、

    再起動前でありますが、DC#2と正常にレプリケーションしていることを「repadmin」で確認済みです。

     

    エラーが出力される原因およびその解決策が分からず困っています。

    上記エラーの対処法について、ご助言いただければと思います。

    よろしくお願いいたします。
    2012年1月18日 1:35
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、下のような操作を行ったことが原因だと思います。

    > DC#1停止中にDC#2FSMOを強制移行→DC#1のリストアを実施

    FSMOの機能は「強制移行(割り当て)」で、別のマシンに強制的に設定できますが、これを行ったら、「以前のFSMOマシン」はネットワークに再接続してはいけません。再接続するとFSMOの衝突が起こり、正常に機能しません。

    対応方法ですが、いったんFSMOを割り当てた以上、以前の状況には戻せませんので、以前のFSMOマシンを強制降格(dcpromo /forceremoval)することと、残っているActive Directory環境から「以前のFSMOマシンに関する情報」を手動で取り除いてください。取り除く方法は、したのWebページを参考にしてください。

    http://support.microsoft.com/kb/216498/ja

    きれいになったActive Directory環境で、以前のFSMOマシンと同じコンピュータをドメイン参加させ、追加ドメインコントローラに再昇格させればよいでしょう。

     




    2012年1月18日 3:22
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    KB305476 の意味合いですが、「既存のActive Directory 上で以前のFSMOマシンが(以後)FSMO所有者とて扱われなくなる」以上の話しは書いていませんが、これは「(書いていないから)以前のFSMOを繋ぎ込めば問題なく修復する」ことを意味していません。

    実際にやってみれば分かりますが、以前のFSMOマシンを(ネットワークに接続して)再起動させた後、ntfsutil コマンドで list roles for connected server オプションで役割を表示させると、自分自身に接続したときは自分が、別のドメインコントローラに接続したときは強制割り当て後のマシンが、FSMOとして表示されます。 また repadmin /showrepl コマンドで複製状況をチェックすれば、同期が行われないことがわかるはずです。

    FSMO機能はとても重要なものなので、強制割り当てを行った場合、以前のFSMOは(FSMOとしては)無効扱いになります(情報の整合性が取れなくなるので)。で、以前のFSMOはそのことを知らないので(転送による通知を受けていないので)自分自身が正しいFSMOとして振る舞う動作を行おうとするので、(そうするとシステムが壊れてしまうので)複製を行えないようになっているのだろう、と思っています。

    FSMOが衝突する、と表現したのは、うえのような動作を考えていたためです。ついでですが、もし強引に以前のFSMOを戻した場合、クライアントからはログオンしたドメインコントローラの設定を参照するので、ログオンしたドメインコントローラによってFSMOの対象が変わる、というおかしな動作が発生する可能性があります。こういうことも含め、最初の回答のように表現したつもりです。

    • 回答としてマーク 田中夢 2012年2月1日 1:23
    2012年1月23日 3:37
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、下のような操作を行ったことが原因だと思います。

    > DC#1停止中にDC#2FSMOを強制移行→DC#1のリストアを実施

    FSMOの機能は「強制移行(割り当て)」で、別のマシンに強制的に設定できますが、これを行ったら、「以前のFSMOマシン」はネットワークに再接続してはいけません。再接続するとFSMOの衝突が起こり、正常に機能しません。

    対応方法ですが、いったんFSMOを割り当てた以上、以前の状況には戻せませんので、以前のFSMOマシンを強制降格(dcpromo /forceremoval)することと、残っているActive Directory環境から「以前のFSMOマシンに関する情報」を手動で取り除いてください。取り除く方法は、したのWebページを参考にしてください。

    http://support.microsoft.com/kb/216498/ja

    きれいになったActive Directory環境で、以前のFSMOマシンと同じコンピュータをドメイン参加させ、追加ドメインコントローラに再昇格させればよいでしょう。

     




    2012年1月18日 3:22
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

     

    ご回答ありがとうございます。

     

    >FSMOの機能は「強制移行(割り当て)」で、別のマシンに強制的に設定できますが、

    >これを行ったら、「以前のFSMOマシン」はネットワークに再接続してはいけません。

    >再接続するとFSMOの衝突が起こり、正常に機能しません。

     

    上記ご回答を頂きましたが、FSMOの初期同期の説明には以下のように記載がありました、

     

    FSMO初期同期についての説明】

    操作マスタの役割をホストしているドメイン コントローラでは、操作マスタの役割の状態をレプリケートおよび管理するディレクトリ パーティションで入力方向の変更内容を正常にレプリケートできる必要があります。依存関係のある操作を行うには、レプリケーションが正常に完了する必要があります。これが行われるのは、現在の FSMO 所有者に関する情報を含む属性への変更内容を FSMO 所有者に反映し、FSMO 所有者を確実に最新の状態にするためです。オフラインのときにこの属性が変更された場合、FSMO 所有権は放棄されます。

      <引用→http://support.microsoft.com/kb/305476/ja

     

    FSMOの初期同期の説明を見る限りでは、DC#1停止時でのFSMO強制移行はオフラインでの属性の変更、

    つまりDC#1FSMO所有権の放棄に該当すると思っているのですが、そうではないのでしょうか。

    FSMO所有権を放棄する仕様ならば、FSMOの衝突は起こらないのではと思っています。

     

    認識間違いなどございましたら、ご指摘いただきたく思います。

    よろしくお願いいたします。
    2012年1月20日 6:48
    |
  • Question
    サインインして投票
    0
    サインインして投票

    横から失礼します。わかる範囲でお答えします。 

    >DC#1停止時でのFSMO強制移行は・・・DC#1FSMO所有権の放棄に該当する・・・ 

    そのように思いますが、以前のFSMOが障害から回復してもネットワークには再接続しないでください。

     

    したにDC障害時のMSのページ・ビデオがありますのでご覧になってください。

    http://technet.microsoft.com/ja-jp/ee676512.aspx

    Windows Server 2008 R2では)

    http://technet.microsoft.com/ja-jp/library/ee849849(WS.10).aspx

     

    DC障害時の対策として「システム状態(System State)」のバックアップは最低限、定期的に取るようにしてください。FSMO強制移行をするとDCのバックアッブは使用できなくなります。

    DC障害からの復旧見込みがあれば(数日間の停止位なら)、FSMO強制移行は原則しないようにしてください。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    2012年1月22日 2:27
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    KB305476 の意味合いですが、「既存のActive Directory 上で以前のFSMOマシンが(以後)FSMO所有者とて扱われなくなる」以上の話しは書いていませんが、これは「(書いていないから)以前のFSMOを繋ぎ込めば問題なく修復する」ことを意味していません。

    実際にやってみれば分かりますが、以前のFSMOマシンを(ネットワークに接続して)再起動させた後、ntfsutil コマンドで list roles for connected server オプションで役割を表示させると、自分自身に接続したときは自分が、別のドメインコントローラに接続したときは強制割り当て後のマシンが、FSMOとして表示されます。 また repadmin /showrepl コマンドで複製状況をチェックすれば、同期が行われないことがわかるはずです。

    FSMO機能はとても重要なものなので、強制割り当てを行った場合、以前のFSMOは(FSMOとしては)無効扱いになります(情報の整合性が取れなくなるので)。で、以前のFSMOはそのことを知らないので(転送による通知を受けていないので)自分自身が正しいFSMOとして振る舞う動作を行おうとするので、(そうするとシステムが壊れてしまうので)複製を行えないようになっているのだろう、と思っています。

    FSMOが衝突する、と表現したのは、うえのような動作を考えていたためです。ついでですが、もし強引に以前のFSMOを戻した場合、クライアントからはログオンしたドメインコントローラの設定を参照するので、ログオンしたドメインコントローラによってFSMOの対象が変わる、というおかしな動作が発生する可能性があります。こういうことも含め、最初の回答のように表現したつもりです。

    • 回答としてマーク 田中夢 2012年2月1日 1:23
    2012年1月23日 3:37
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    チャブーン さん、試験問題作成委員会 さん
    参考になるアドバイスをありがとうございます。
     
    Alva_hou さん
    最後に投稿されてからしばらく経過しましたが、その後皆様からの投稿をご覧になっていただけましたでしょうか?

    今回のご質問につきましては、チャブーン さんの投稿をトラブルシューティングの参考にしていただけたのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。

    また、もしもまだ疑問が解消されていないようでしたら、よろしければ弊社の有償サポート窓口のご利用もご検討いただければと思います。


    また何かありましたら、TechNet フォーラムをご利用くださいね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2012年2月1日 1:23
    |